Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagsnummer: 170/2026
Dato: 27-05-2026
Ankenævn: Bo Østergaard, Janni Visted Hansen, Jimmy Bak, Rolf Høymann Olsen og Poul Erik Jensen.
Klageemne: Betalingstjenester - ikke-vedkendte hævninger
Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Ledetekst: Indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.
Indklagede: Nordea Danmark, filial af Nordea Bank Abp, Finland
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion, der blev godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet betalingskort.

Den 23. januar 2026 modtog klageren en SMS, der fremstod som værende fra GLS. Af beskeden fremgik, at klageren skulle trykke på et link for at opdatere leveringsoplysningerne.

Klageren har oplyst, at han modtog SMS’en i samme beskedtråd som tidligere legitime GLS-beskeder, og at han i SMS’en blev bedt om at betale 1 DKK for at opdatere sine leveringsoplysninger. Han godkendte betalingen med sit MitID i den tro, at der var tale om en leveringsbetaling på 1 DKK.  

Den 24. januar 2026 blev der gennemført en kortbetaling på 436 schweizerfranc (CHF), svarende til 3.557,05 DKK med klagerens betalingskort til betalingsmodtager A, som klageren ikke kan vedkende sig.

Banken har oplyst, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app, hvor han indtastede sit selvvalgte MitID-brugernavn og blev præsenteret for følgende tekst i sin MitID-app:

”Confirm at Nordea Visa SBB CFF FSS 436,00 CHF XXXX XXXX XXXX 0655”

Banken har endvidere oplyst, at transaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl.

Ved tro- og loveerklæring af 29. januar 2026 gjorde klageren indsigelse mod kortbetalingen.

Ved brev af 2. februar 2026 afviste banken klagerens indsigelse og anførte, at han selv hæftede for op til 8.000 DKK med henvisning til, at han selv havde godkendt betalingen.

Den 3. februar 2026 anmeldte klageren svindlen til politiet.

Klageren klagede over bankens afgørelse, og den 4. februar 2026 afviste banken klagen.

Parternes påstande

Den 26. februar 2026 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 3.566 DKK til ham.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han har været udsat for phishing i forbindelse med en pakkelevering fra GLS.

SMS’en fremstod som værende fra GLS og kom ind i samme beskedtråd som tidligere legitime GLS-beskeder. Beskeden fremstod som troværdig, og han godkendte derfor betalingen med sit MitID i den tro, at der var tale om en leveringsbetaling på 1 DKK, men i stedet blev der trukket 3.566 DKK. 

Banken har anerkendt, at han blev manipuleret, men afviser at dække beløbet med henvisning til grov uagtsomhed, fordi beløbet fremgik af MitID-godkendelsen.

Han bestrider, at han skulle have handlet groft uagtsomt efter betalingslovens § 100, idet godkendelsen skete under vildfarelse fremkaldt ved professionel phishing/social engineering. Han havde ikke intention om at godkende en betaling på 3.566 DKK.

At en betaling teknisk er godkendt med MitID kan ikke i sig selv føre til grov uagtsomhed, når godkendelsen er fremkaldt ved svindel.

Nordea Danmark har anført, at betalingen er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

Forholdet er omfattet af betalingslovens § 100, stk. 4, og bankens kortregler for Visa/dankort.

Klageren har i forbindelse med gennemførelsen af trankationen på 3.557,05 DKK indtastet sit selvvalgte MitID-brugernavn, hvorefter klageren blev præsenteret for følgende tekst, hvorfor der ikke kan være tvivl om, at klageren godkendte transaktionen: ”Confirm at Nordea Visa SBB CFF FSS 436,00 CHF XXXX XXXX XXXX 0655”

Nets har bekræftet over for banken, at transaktionen gik igennem uden fejl, og at transaktionen blev godkendt via klagerens MitID på hans egen telefon.

Banken har en formodning om, at klageren valgte at godkende beløbet ovenfor, som han efterfølgende ikke vil vedkende sig, hvorfor selve godkendelsen af betalingen i MitID-appen er groft uforsvarlig adfærd fra klagerens side. Banken er således berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingslovens § 100, stk. 4, nr. 3.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor han havde en konto med et tilknyttet betalingskort.

Klageren har oplyst, at han den 23. januar 2026 modtog en SMS, der fremstod at være fra GLS. I SMS’en blev han bedt om at betale 1 DKK for at opdatere sine leveringsoplysninger. Han godkendte betalingen med sit MitID i den tro, at der var tale om en leveringsbetaling på 1 DKK.  

Den 24. januar 2026 blev der gennemført en kortbetaling på 436 schweizerfranc (CHF), svarende til 3.557,05 DKK med klagerens betalingskort til betalingsmodtager A, som klageren ikke kan vedkende sig.

Banken har oplyst, at kortbetalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app, hvor han indtastede sit selvvalgte MitID-brugernavn og blev præsenteret for følgende tekst i sin MitID-app: ”Confirm at Nordea Visa SBB CFF FSS 436,00 CHF XXXX XXXX XXXX 0655”.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. betalingslovens § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Ankenævnet lægger til grund, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste, hvilket ikke er bestridt.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, jf. betalingslovens § 100, stk. 4, nr. 2, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, jf. betalingslovens § 100, stk. 4, nr. 3.

Tre medlemmer – Bo Østergaard, Janni Visted Hansen og Jimmy Bak – udtaler:

Efter de foreliggende oplysninger finder vi det godtgjort, at klageren må have godkendt betalingen på 436 CHF, svarende til 3.557,05 DKK, med sit MitID.

Vi finder, at banken har godtgjort, at klageren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse, da han burde have reageret på teksten i MitID, hvor han fik oplysninger om beløbet på 436 CHF, og at klageren som følge heraf hæfter med op til 8.000 DKK.

Vi stemmer derfor for, at klageren ikke får medhold i klagen.

To medlemmer – Rolf Høymann Olsen og Poul Erik Jensen – udtaler:

Som ovenfor anført finder vi det godtgjort, at transaktionen skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Vi finder, at der er tale om organiseret professionel svindel.

Forbrugere har forskellige forudsætninger for at gennemskue professionel svindel. Det må aldrig blive utrygt for den almindelige forbruger at anvende de digitale løsninger og betalingstjenester, der er nødvendige for at fungere i vores samfund.

Vi finder derfor ikke, at klageren, ved at blive snydt af en professionel svindler, har udvist groft uforsvarlig adfærd. Det må forudsættes, at såfremt klageren havde forudsætninger for at gennemskue svindlen, ville klageren ikke have godkendt transaktionen.

Hertil bemærkes et generelt forbehold for så vidt angår systemfejl. Det kan ikke udelukkes, at der i sager med phishing, er tale om raffineret systemteknisk misbrug, hvor svindleren er lykkedes med at udvikle tekniske løsninger, som muliggjorde svindlen.

Vi finder ikke, at banken har godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi finder, at banken er nærmest til at bære risikoen for, at det betalingssystem, forbrugerne anvender, er tilstrækkelig sikkert og tydeligt til at hindre svindel.

Da den til betalingstjenesten hørende personlige sikkerhedsforanstaltning har været anvendt, hæfter klageren for 375 DKK af tabet, jf. betalingslovens § 100, stk. 3.

Vi stemmer derfor for, at banken skal tilbageføre 3.182,05 DKK til klageren.

Sagen afgøres efter stemmeflertallet.

 

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.